CONEXIÓN ESCRITORIO REMOTO TÚNEL VPN
Vamos a ver cómo establecer una conexión segura a través de Internet. Esto nos permitirá acceder a los recursos de una máquina remota, y en particular veremos cómo conectar también el Escritorio remoto a esa máquina.
¿QUÉ ES VPN?
VPN es un túnel seguro a través de una comunicación tcp/ip. Es decir, crea una nueva conexión tcp/ip encapsulada en la conexión normal y encriptada. Por tanto, las máquinas dentro del túnel tienen otra dirección IP. Este ultimo párrafo debemos recordarlo aunque de momento no tenga mucho sentido para nosotros: lo veremos en detalle más adelante.
Vamos a ver tanto en XP como en Vista, cómo crear el servidor de túnel VPN y cómo se deben configurar las máquinas cliente para acceder a dicho Túnel.
Para ver este ejemplo, he creado dos máquinas virtuales, tal y como puede verse en las imágenes siguientes. En este caso son dos XP. Aunque alguno de nuestros sistemas sea Vista, leed este ejemplo de XP con atención porque nos servirá para centrar ideas:
Va a hacer de servidor de túnel la máquina anterior: VPNXP2 (172.16.0.21)
Esta máquina hará las funciones de Cliente.
CONFIGURACIÓN DEL SERVIDOR (EN XP):
En Panel de Control, Conexiones de Red, creamos una nueva conexión:
A continuación nos mostrará todas las conexiones Dial-Up si las tuviésemos, conexiones serie, paralelo, Bluetooth, etc. No seleccionamos ninguna de ellas ya que nos vamos a conectar por nuestro cable de red en la conexión a Internet.
A continuación nos mostrará los usuarios de nuestro equipo. Seleccionaremos qué usuarios se pueden conectar en remoto a nuestra máquina. Dichos usuarios deben tener contraseña.
Nos mostrará la lista de protocolos y servicios tcp/ip. Puede configurarse, pero tal y como la propone es correcta para lo que queremos hacer (posteriormente todas estas opciones podrán, además, modificarse).
Esto nos creará el icono de la conexión entrante. Si pinchamos sobre él con el botón derecho / Propiedades, podremos ver y modificar todo lo seleccionado anteriormente:
Recordemos, que un Túnel nos establece una conexión "dentro" de nuestra conexión a Internet. Esta "conexión"· es segura al estar encriptado, pero como tal conexión deberá tener dirección IP, máscara, etc.
Vamos a hacer que nuestra máquina servidora de Túnel sea servidor de direcciones IP. Para ello, dentro de las propiedades de conexión, seleccionamos la pestaña de Funciones de Red, seleccionamos Protocolo de Internet (TCP/IP) y botón propiedades:
Y seleccionamos un rango de direcciones que son las que nos va a dar este servidor. Debe ser un rango de direcciones de las reservadas como direcciones "locales". Es decir, por ejemplo:
La primera dirección no debe olvidársenos: será la dirección del servidor de Túnel cuando establezcamos la conexión remota. Es decir cuando nos refiramos desde la máquina remota a la IP 192.168.133.2 nos estamos refiriendo a la dirección del servidor dentro del Túnel.
Debido a que queremos acceder a esa máquina mediante escritorio remoto, deberemos activarlo: botón derecho en Mi PC, Propiedades, pestaña "Remoto":
Con esto hemos terminado la configuración de server.
NOTA: El router ADSL de la máquina remota, debe permitir el paso del puerto 1723 TCP a la máquina que va a hacer de servidor. Debe configurarse por tanto dicho router.
Si tenemos un cortafuegos o una solución antivirus suite de seguridad, hay que crear una regla para permitir dicho puerto.
CONFIGURACIÓN DEL CLIENTE (EN XP):
En las máquinas que vayan a ser clientes creamos una nueva conexión:
Aunque luego podremos modificarlo, en este punto debemos dar la IP de la máquina remota a la cual nos vamos a conectar. Hay que dar la dirección de Internet es decir la IP externa del router en el caso de conexión al exterior, no la IP del PC. El router remoto se encargará, tal y como hemos configurado antes, de hacer la translación de direcciones (mapeo o NAT) a la máquina interna. (En nuestro ejemplo, que son máquinas internas de nuestra subred, damos simplemente su IP).
Ya podríamos realizar la conexión en este punto.
Fijémonos que todo lo anterior, podemos ahora reconfigurarlo con el botón derecho en la conexión / propiedades.
IMPORTANTE:
Funcionamiento de la nueva red (una conexión establecida indica siempre una nueva red)
Muchas veces oímos un problema con respecto al VPN. Frases que dicen "cuando me conecto por VPN pierdo mi conexión por la red local e incluso no puedo navegar"
Esta frase, incorrecta en su fondo, indica que quien está haciendo la consulta desconoce el funcionamiento del tcp/ip.
Recordemos que cuando se establece una conexión se reconfigura la tabla de rutas: aparece una nueva interfaz de red activa con su dirección IP. ¿cuál es el funcionamiento del tcp?: las rutas desconocidas se envían a la puerta de enlace por defecto, y si hubiese más de una puerta de enlace se envía a la de menos métrica. Pero: ¡al realizar esta nueva conexión se nos envía desde el servidor VPN una IP para esa conexión, con su máscara y puerta de enlace!
Si queremos desactivar dicha puerta de enlace (ignorar la que nos envía el servidor) y seguir con la nuestra y por tanto no perder la conectividad a Internet ni al resto de la red, debemos configurar en las propiedades de la conexión lo siguiente: quitar la marca a "Usar puerta de enlace predeterminada en la red remota":
Conexión por Escritorio remoto
En el ejemplo que hemos puesto anteriormente, desde la máquina cliente una vez establecida la conexión podemos ejecutar en una ventana de comandos:
route print
y veremos la IP nueva asignada, y sobre todo fijaos en las puertas de enlace (destino de red: 0.0.0.0 y sus métricas, esto es a lo que nos referíamos en una conexión por defecto sin eliminar la puerta de enlace remota).
Evidentemente la conexión debe ser a la IP del server dentro del túnel: la primera IP del rango que habíamos configurado en el túnel.
Conexión efectuada:
SERVIDOR DE VPN EN VISTA
Pongo las pantallas correspondientes, pero se deben seguir los textos y comentarios dados para XP. Es importante.
Acceder a Panel de Control / Centro de Redes y Recursos compartidos y seleccionar Administrar Conexiones de Red. Al abrirlo, si no mostrase la barra de Menú superior, configurar en "Organizar" para que muestre el menú ya que es necesario usar el Menú Archivo. y seleccionar la creación de conexiones entrantes.
CLIENTE DE VPN EN VISTA
Se realizará Creando una nueva conexión en el Centro de Redes y recursos compartidos.
Y en Propiedades, como siempre, podremos modificar cualquiera de las configuraciones y sobre todo, configurar el envío o no de la puerta de enlace predeterminada (ver su significado en la parte anterior de Cliente de VPN para XP)
--
José Manuel Tella [email protected]
16 - agosto - 2008
[Tutorial] Montar una VPN entre dos XP
por Guoper » 07 Jun 2005 16:38
Ultima revisión: 07/06/2005
I. INTRODUCCION.-
Este breve tutorial describe los pasos que he seguido para conseguir conectar el
ordenador de mi casa a un ordenador del curro. Ambas máquinas, domicilio y trabajo,
tienen instalado XP pro y estan conectadas a un router ADSL. Espero que le sea util a
alguno de ustedes.
XP permite ser configurado como un servidor de VPN a través del protocolo PPTP. Es
algo limitadillo pues sólo admite una conexión entrante y sirve básicamente para
acceder a los recursos que tengamos compartidos en ese pc. Pero para nosotros,
usuarios domésticos, nos basta para poder entrar en nuestro pc de forma remota.
II. CONFIGURANDO LA PARTE DEL SERVIDOR.-
Como ya he comentado la parte del servidor consta de un Xp Pro y un router ADSL (en
mi caso he utilizado un Zyxel). Antes de entrar a configurar nada lo primero que hay
que tener en cuenta es que para poder acceder a través de la red desde una ubicación
remota a nuestro pc hay que tener éste último localizado en Internet. Esto se consigue
mediante una IP pública fija, pero lo más normal en estos tiempos que corren es que
nuestro ISP nos haya asignado una IP dinámica y tengamos que recurrir a un servicio
de DNS dinámicas.
El funcionamiento de estas webs consiste en registrar nuestro pc en estos servicios con
un nombre de host y enviarles la IP que nos asigna nuestro ISP en el momento de
conectar el router de forma que dicha IP queda asociada al nombre de host que hemos
elegido. Este envio se hace de forma automática y transparente.
Existen varios proveedores que facilitan este servicio, mi caso he tenido que escoger
forzosamente DynDNS.org puesto que es el único que permite ser configurado en el
router Zyxel.
El registrarse es muy sencillo: entras en su página, escoges crear una nueva cuenta,
asignas un nombre de host a tu pc (del estilo pepito.dyndns.org) un usuario y una
contraseña por si quieres modificar la configuración y aceptas. Automáticamente te
mandan a tu correo un link en el que debes pinchar antes de 48 horas para confirmar
los datos que has registrado y desde ese momento tu IP pública queda asociada
a pepito.dyndns.org, algo que puedes comprobar fácilmente haciendo unping
pepito.dyndns.org.
Importante: Tal como recogen en sus comentarios tanto Cliff como Poc, es casi
imprescindible descargar algún cliente que se encarge de refrescar la asociación entre
nombre de host e IP. Yo no lo hize y al tercer dia se me cayó la conexión con el servicio
de DNS dinámica; pero desde que descargué DynDns Updater desde la propia web
de dyndns.org no he vuelto a tener problemas de ese tipo.
Bien, ahora tenemos que configurar el router abriendo el puerto TCP 1723 y
redirigiéndolo hacia la IP del pc que va a hacer de servidor, esta operación se
hace exclusivamente en el caso de que tengamos el router en modo multipuesto (para
saber la IP del pc servidor puedes ejecutar el comando ipconfig). En el caso del Zyxel
entras via telnet o mediante tu navegador favorito a la IP que tiene el router y accedes
a Nat Setup -> NAT Server Sets -> Server Set 1. En el campo Star Port
No. introducimos el puerto que queremos abrir (1723) y como no necesitamos más,
pues escribimos el mismo puerto en End Port No.. Finalmente en IP Address se mete la
IP del XP que va a hacer de servidor.
En el Zyxel no hay que hacer más pues me imagino que ya entiende que
vamos a usar PPTP y se encarga de permitir el uso del protocolo GRE. GRE es
el protocolo por el que se envian los paquetes de la VPN hacia el puerto 47 UDP
(supongo que no es una definición muy ortodoxa porque yo tampoco termino de
tenerlo claro del todo). Por lo que he leido parece ser que en otros routers el
tema del GRE es un auténtico dolor de cabeza y hay que abrirlo como si se
tratase de otro puerto, en este caso el 47 UDP
Una vez que hemos terminado con el router configuramos la conexión entrante
VPN en el XP. Es muy sencillo: como administradores abrimos las Conexiones de
Red y picamos sobre la opción Crear una conexión nueva. Ahora en el asistente
marcamos Configurar una conexión avanzada -> Aceptar conexiones entrantes.
Cuando nos pida como se va a establecer la conexión podemos escoger por modem o,
dejándolo en blanco, por Internet que es la opción que debemos elegir si vamos a
conectarnos a través de una ADSL que, dicho sea de paso, es lo más recomendable.
A continuación marcar Permitir conexiones virtuales privadas y dar permiso de acceso
remoto a las cuentas de usuarios que deseemos. Con esa cuenta de usuario autorizado
es con la que deberemos logearnos cuando hagamos la conexión desde el cliente.
Ahora marcar el protocolo TCP/IP, Compartir archivos y carpetas y Cliente de redes
Microsoft. Entrar a las propiedades del protocolo TCP/IP y marcar Permitir a quienes
llaman acceso a mi red de area local y escoger la forma en que el servidor asignará la
IP al cliente, bien por DHCP o bien especificando un rango de direcciones TCP/IP, siendo
esta última modalidad la que a mi más me gusta. Hay que tener en cuenta dos cosas:
primero, que no pongas más de dos IPs en el rango puesto que sólo vas a poder
acceder con un pc remoto a la vez.
segundo, asegúrate que la IP que pongas sea coherente con la de la red remota a
la que vas a acceder puesto que si no no podrás ver sus recursos compartidos.
Finalmente y para acabar con el servidor, hay que acordarse de que en el caso de que
tengamos un firewall debemos permitir conexiones entrantes al puerto 1723
TCP y permitir tráfico tanto de entrada como de salida al protocolo 47 (GRE).
Con Kerio no he tenido ningún problema en crear ambas reglas.
III. CONFIGURANDO EL CLIENTE.-
Hemos considerado que el cliente, o sea el pc que va a conectar con el XP que
acabamos de configurar es también otro XP. Por tanto ejecutamos en este XP cliente el
asistente para crear una conexión nueva y marcamos la opción Conectarse a la red de
mi lugar de trabajo. A continuación escojemos el tipo de conexión que en nuestro caso
al conectarnos por ADSL seráVPN y le damos como IP del servidor el nombre del host
que escogimos en dyndns.org
Igualmente, si tenemos un firewall en el cliente, debemos permitir el tráfico de salida
hacia el puerto 1723 TCP y tráfico tanto de entrada como salida para el protocolo 47
(GRE)
Importante: No se nos olvide entrar en el cliente a las propiedades de la conexión
VPN que hemos establecido, acceder aPropiedades TCP/IP -> Opciones avanzadas ->
General y desmarcar la casilla usar puerta de enlace predeterminada en la red
remota. Si no lo hacemos asi probablemente no podamos salir a Internet desde nuestro
pc cliente, ya que buscaría el router al que esta conectado el pc remoto en lugar del
nuestro.
Y ya está, es una VPN muy básica pero VPN al fin y al cabo
Guoper
Socio VIP
Mensajes: 5283
Registrado: 26 May 2005 22:32
Ubicación: HTTP 404
Como crear una red privada virtual (VPN)
Introducción
Cada vez es más habitual moverse en escenarios en donde se requiere el acceso a recursos remotos desde cualquier lugar, incluso recursos que no están disponibles directamente en Internet, pero sí en nuestra intranet. Mediante una VPN podemos acceder de forma segura a todos los recursos de nuestra intranet usando una conexión pública como Internet y trabajabo como si estuviésemos en la red local.
¿Qué aborda este artículo?
En este artículo abordaremos el tema de las VPN's domésticas, es decir, veremos como con Windows 2000 y XP es posible crear rápidamente redes privadas que nos permiten compartir nuestros recursos con otros usuarios de forma segura.
¿Qué no encontrarás en este artículo?
No analizaremos las VPN's a fondo, simplemente abordamos una solución sencilla para usuarios domésticos. No trabajaremos con ningún servidor VPN ni de acceso remoto. Ese es tema para otro artículo.
¿Qué es una VPN?
En pocas palabras una VPN es una red virtual que se crea "dentro" de otra red, como por ejemplo Internet. Generalmente las redes privadas se crean en redes públicas, en las que se quiere crear un entorno confidencial y privado. La VPN nos permitirá trabajar como si estuviésemos en la red local, es totalmente transparente para el usuario.
Una vez establecida la conexión de la red privada virtual los datos viajan encriptados de forma que sólo el emisor y el receptor son capaces de leerlos.
Para poder realizar una VPN se necesita un servidor (o host) que espera conexiones entrantes, y uno o varios clientes, que se conectan al servidor para formar la red privada.
¿Qué podemos hacer con una VPN?
Al permitirnos establecer conexiones seguras entre otros equipos podremos acceder a los recursos del otro equipo de forma segura y confidencial, por ejemplo a impresoras, documentos, servidores de base de datos, aplicaciones específicas, etc.
¿Cómo funciona una VPN?
Como ya se ha dicho anteriormente se trata de un proceso totalmente transparente para el usuario y para la mayoría de las aplicaciones. Funciona exactamente igual que cualquier otra conexión de red, es decir, dentro de la VPN cada equipo tendrá una IP, todas las conexiones usando esa IP estarán funcionando dentro de la VPN y serán encriptadas, el usuario simplemente tendrá que usar las IPs de la VPN, y no preocuparse de nada más, el resto ya lo hace el cliente VPN y el servidor VPN.
Cultura general sobre VPN's
Antes de comenzar a trabajar con VPN's es bueno poseer unas nociones básicas del mundo en el que nos estamos metiendo.
Son dos las tecnologías más utilizadas para crear VPN's, en realidad son diferentes protocolos o conjuntos de protocolos, PPTP y L2TP.
PPTP: Point to Point Tunneling Protocol
PPTP es un protocolo desarrollado por Microsoft y disponible en todas las plataformas Windows. Es sencillo y fácil de implementar pero ofrece menor seguridad que L2TP.
En este artículo implementaremos una conexión VPN mediante PPTP usando MS-CHAP v2. También es posible usar PPTP con EAP-TLS para soportar certificados de seguridad.
L2TP: Layer Two Tunneling Protocol
Se trata de un estándar abierto y disponible en la mayoría de plataformas Windows, Linux, Mac, etc. Se implementa sobre IPSec y proporciona altos niveles de seguridad. Se pueden usar certificados de seguridad de clave pública para cifrar los datos y garantizar la ***dad de los usuarios de la VPN.
Comparativa entre PPTP y L2TP
Con PPTP, el cifrado de datos comienza después de que la conexión se procese (y, por supuesto, después de la autentificación PPP). Con L2TP/IPSec, el cifrado de datos empieza antes de la conexión PPP negociando una asociación de seguridad IPSec.
Las conexiones PPTP usan MPPE, un método de cifrado basado en el algoritmo de encriptación Rivest-Shamir-Aldeman (RSA) RC-4, y usa llaves de 40, 56 o 128 bits. Las conexiones L2TP/IPSec usan Data Encryption Standard (DES), con llaves de 56 bits para DES o tres llaves de 56 bits para 3-DES. Los datos se cifran en bloques (bloques de 64 bits para el caso de DES).
Las conexiones PPTP requieren sólo autentificación a nivel de usuario a través de un protocolo de autentificación basado en PPP. Las conexiones L2TP/IPSec requieren el mismo nivel de
autentificación a nivel de usuario y, además nivel de autentificación de máquina usando certificados digitales.
Existen más diferencias, pero hacer un estudio más pormenorizado se saldría de la idea inicial de este artículo por lo que lo dejaremos en estas tres diferencias fundamentales.
Caso práctico
La mejor forma de entender y ver como funciona es implementándolo, y eso es lo que haremos a continuación.
Escenario: Dos (o más) equipos distantes y conectados a Internet quieren compartir sus recursos (ficheros, impresoras, etc.) entre ellos de forma privada y sencilla.
Software: Windows XP o 2000, también es posible realizar la conexión con equipos con Windows 98 y 95 descargando los ficheros de actualización de la web de Microsoft.
Solución: Montar una VPN a través de Internet entre estos equipos.
Necesitamos establecer un equipo como servidor, éste será el encargado de la autenticación, el resto de equipos establecerán la conexión con él.
Servidor VPN
Vamos al Panel de control, y abrimos la carpeta de "Conexiones de red" y en el menú Archivo seleccionamos "Nueva conexión".
Ahora estamos en el "Asistente para conexión nueva". Pulsamos en el botón "Siguiente" para continuar.
Entre las opciones disponibles seleccionamos "Configurar una conexión avanzada", y pulsamos en "Siguiente".
Ahora seleccionamos "Aceptar conexiones entrantes" y pulsamos "Siguiente" para continuar.
En la pantalla "Dispositivos de conexiones entrantes" no seleccionamos ninguno, pues no queremos que se conecten a este equipo haciendo una llamada o usando el puerto paralelo. Pulsamos en "Siguiente".
En la pantalla "Conexión de red privada virtual (VPN) entrante" debemos seleccionar "Permitir conexiones virtuales privadas". Pulsamos en "Siguiente".
En la pantalla "Permisos de usuarios" seleccionamos los usuarios que podrán conectarse a nuestro equipo usando la VPN. Desde esta misma pantalla podremos crear nuevos usuarios. Pulsamos en "Siguiente".
Ahora debemos seleccionar los protocolos que habilitaremos en la VPN. Como queremos compartir ficheros e impresoras marcaremos "Protocolo Internet (TCP/IP)", "Compartir impresoras y archivos para redes Microsoft". Podremos agregar los protocolos que queramos usando el botón Instalar. Seleccionamos el protocolo "Protocolo Internet (TCP/IP)" y pulsamos en el botón Propiedades para proceder a configurarlo.
Ahora podemos configurar las propiedades del protocolo TCP/IP. Si queremos que los clientes que se conectan a nosotros puedan acceder a la red local en la que tenemos nuestro servidor deberemos activar la primera casilla. Además podemos dejar que el servidor asigne las IPs de los clientes o establecer un intervalo de IPs, o incluso permitir que los clientes especifiquen su IP.
Guardamos la configuración de TCP/IP y pulsamos en el botón siguiente del asistente y ya habremos terminado. En este momento tendremos una nueva conexión en la carpeta de Conexiones de red. Seleccionando la nueva conexión podremos ver el estado de ésta, los clientes conectados, cambiar las opciones de configuración, etc.
Ahora ya tenemos configurado el servidor VPN y ya está listo para aceptar clientes VPN.
A continuación configuraremos una conexión VPN para que se conecte al servidor.
Cliente VPN
Abrimos la carpeta de "Conexiones de red" y en el menú Archivo seleccionamos "Nueva conexión". En el asistente para conexión nueva seleccionamos "Conectarse a la red de mi lugar de trabajo", y pulsamos siguiente.
Seleccionamos "Conexión de red privada virtual", y pulsamos siguiente.
En la siguiente ventana, marcaremos la opción "no usar conexion inicial" a menos que queramos que con la vpn se utilice otra de nuestras conexiones a internet, si indicamos que al activar esta conexión se active antes otra conexión, por ejemplo una conexión telefónica, se conectará primero a Internet y luego se establecerá la VPN. Si disponemos de cable o ADSL no es necesario activar ninguna de estas conexiones. Tampoco lo es si estamos conectados a Internet cuando activamos la conexión VPN o no queremos que ésta marque ninguna conexión. Por último indicamos la dirección IP del servidor VPN, esta es la dirección IP pública, es decir, la que tiene en Internet en el momento de establecer la conexión entre los clientes y el servidor.
Al finalizar el asistente ya tendremos la conexión lista para activarse. Ahora debemos indicar el usuario y las password que hemos activado en el servidor y ya podremos conectarnos con el servidor.
Si el servidor VPN se conecta a Internet usando un modem o Cable la IP puede cambiar (IPs dinámicas) por lo que será necesario indicarle la IP que tiene en cada momento.
Ya tenemos la conexión VPN lista para funcionar.
Si trabajamos con conexiones lentas (móden o similar) la VPN también irá lenta. Es recomendable disponer de conexiones de banda ancha para sacarle todo el rendimiento a este tipo de conexiones.
Para realizar las comunicaciones usando la VPN deberemos usar las IPs de la VPN. Es decir, además de la IP de Internet que tiene el servidor y los clientes se han generado otras IPs internas de la VPN, pues esas deberemos usar para comunicarnos con los equipos de la VPN, estas se obtendrán como las habituales, pero en el icono de la nueva conexión que aparece en la barra de notificación (junto al reloj).
En conexiones lentas, el Explorador de Windows no será capaz de mostrar los otros equipos de la red, o le llevará mucho tiempo, en ese caso, podremos acceder a ellos escribiendo en la barra de direcciones del Explorardor de Windows "\\ip_en_la_VPN" o "\\nombre_maquina" de la máquina a la que queremos acceder, por ejemplo, si la IP (en la VPN) de la otra máquina es 169.254.3.117 pondremos \\169.254.3.117 en la barra de direcciones del Explorador de Windows y de esta forma ya tendremos acceso a los ficheros e impresoras de la máquina indicada.
Para usar otros recursos, como servidores de base de datos, etc. simplemente usamos la IP en la VPN de la máquina destino.
Además, si los equipos no tienen realizada la configuración de red adecuadamente, o tienen mal asignados los permisos puede ocurrir que no se pueda acceder a recursos. Esto no es un problema de la VPN sino de cómo se tienen establecidos los permisos en cada ordenador, al igual que pasa en una red local.
Por último, y como recomendación final, es aconsejable mantener el equipo actualizado e instalar los parches y services packs que va publicando Microsoft. Al tratarse de un servicio de red es muy vulnerable a ser atacado y si no está convenientemente actualizado podemos ser víctimas de ataques, o nuestros datos quizás no viajen lo suficientemente seguros como esperábamos.
Fuente: http://www.elrincondelprogramador.com/default.asp?pag=articulos/leer.asp&id=55
Recommended
